Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Czy inspektorowi ochrony danych należy nadawać upoważnienie do przetwarzania danych?

Czy IOD powinien posiadać upoważnienie do przetwarzania danych osobowych nadane przez administratora? Dostępne opinie na ten temat są sprzeczne. Przeciwko nadawaniu upoważnień inspektorowi wysuwa się argument, że takie upoważnienie jest zbędne ze względu na prawo inspektora do właściwego i niezwłocznego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych u administratora oraz z uwagi na jego zadania określone w art. 39 ust. 1 RODO.

Odpowiadając na takie pytanie przede wszystkim należy wziąć pod uwagę cel, w jakim takie upoważnienia się nadaje. Takie upoważnienia mogą być jednym ze środków organizacyjnych, którego celem jest zapewnienie przez administratora odpowiedniej kontroli nad procesem ich przetwarzania.

Przepisy RODO zobowiązują administratora, aby miał kontrolę (władztwo) nad tym kto, w jakim zakresie ma dostęp do danych osobowych oraz na jakich zasadach i w jaki sposób je przetwarza. Dane osobowe mogą być przetwarzane wyłącznie na polecenie administratora przez osoby działające z upoważnienia administratora lub podmiotu przetwarzającego (art 29 oraz art. 32 ust. 4). Przyjmowane przez administratora i podmiot przetwarzający środki wobec osób, za których działania administrator i podmiot przetwarzający odpowiada, powinny służyć m.in. zapobieganiu nieuprawnionemu pozyskiwaniu danych osobowych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych. Dzięki tym środkom osoby, które zostały dopuszczone do przetwarzania danych zostają również poinformowane, jaki jest zakres ich uprawnień co do przetwarzania danych osobowych. Dlatego środek ten należy odróżnić od uprawnienia do dostępu do danych osobowych przyznanego określonym funkcjom czy zawodom przez przepisy prawa w związku z wykonywanymi przez nich obowiązkami lub zadaniami.

Patrząc z tej perspektywy, jeżeli administrator decyduje się na skorzystanie ze środka, jakim jest nadawanie upoważnień do przetwarzania danych w wykonaniu obowiązków określonych w art. 29 i art. 32 ust 1 i 4 RODO, to taki środek uzasadniony jest również wobec inspektora ochrony danych, niezależnie od tego, że uprawnienie tej osoby do dostępu do danych osobowych wynika z RODO. 

Jednocześnie wskazuję, iż analogiczne podejście i więcej informacji na temat upoważnień do przetwarzania danych można znaleźć na naszej stronie internetowej w zakładce Inspektor Ochrony Danych/Zadania IOD, m.in. w odpowiedziach na pytania: Czy administrator powinien nadawać upoważnienia np. sędziom?, Czy lekarzom należy nadawać upoważnienia?

2021-03-03 Metadane artykułu
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację: Monika Młotkiewicz 2021-03-03
Wprowadził‚ informację: Edyta Madziar 2021-03-03 08:03:43
Ostatnio modyfikował: Edyta Madziar 2021-03-03 11:27:15